Sebuah kampanye phishing multi-tahap baru terdeteksi menargetkan pengguna di Rusia dengan muatan berbahaya berupa ransomware dan remote access trojan bernama Amnesia RAT. Penelitian teknis yang dipublikasikan Fortinet FortiGuard Labs mengungkap bagaimana serangan ini memanfaatkan rekayasa sosial melalui dokumen bertema bisnis yang tampak rutin dan tidak mencurigakan. Dokumen tersebut berfungsi sebagai umpan visual, mengalihkan perhatian korban dengan tugas palsu atau pesan status, sementara aktivitas berbahaya berjalan diam-diam di latar belakang sistem.
Yang membuat kampanye ini menonjol adalah penggunaan beberapa layanan cloud publik secara terpisah untuk distribusi payload. Script berbahaya di-host di GitHub, sementara file biner utama ditempatkan di Dropbox. Strategi ini secara signifikan mempersulit upaya penindakan karena memecah infrastruktur serangan ke berbagai platform tepercaya.
Selain itu, aktor ancaman juga menyalahgunakan sebuah tool bernama defendnot untuk menonaktifkan Microsoft Defender. Defendnot awalnya dibuat sebagai eksperimen keamanan oleh peneliti independen untuk menipu Windows Security Center agar mengira antivirus lain sudah terpasang. Dalam kampanye ini, teknik tersebut dimanfaatkan untuk membuat Defender mematikan dirinya sendiri, membuka jalan bagi malware tanpa hambatan perlindungan endpoint.
Serangan dimulai melalui arsip terkompresi yang berisi beberapa dokumen umpan serta sebuah shortcut Windows berformat LNK dengan nama berbahasa Rusia. File ini menggunakan teknik double extension, seperti “Задание_для_бухгалтера_02отдела.txt.lnk”, sehingga tampak seperti file teks biasa. Ketika korban mengklik file tersebut, sebuah perintah PowerShell dijalankan untuk mengunduh script tahap berikutnya dari repositori GitHub.
Script ini berfungsi sebagai loader awal yang membangun pijakan di sistem korban, menyembunyikan jejak aktivitas berbahaya, serta meneruskan alur eksekusi ke tahap lanjutan. PowerShell secara otomatis menyembunyikan jendela konsol agar tidak terlihat oleh pengguna, lalu membuat dokumen umpan di direktori lokal yang langsung dibuka agar korban tetap mengira hanya membuka file biasa.
Di saat yang sama, sistem mengirim notifikasi ke pelaku melalui Telegram Bot API sebagai konfirmasi bahwa tahap awal berhasil. Setelah jeda sengaja selama 444 detik, script kemudian menjalankan file Visual Basic Script yang sangat terobfuscasi, yang dirancang untuk merakit payload berikutnya langsung di memori tanpa meninggalkan artefak di disk.
Script lanjutan memeriksa apakah berjalan dengan hak administrator. Jika tidak, malware secara berulang memunculkan prompt User Account Control untuk memaksa korban memberikan izin tinggi. Setelah hak akses diperoleh, serangkaian tindakan agresif dilakukan untuk menonaktifkan keamanan sistem.
Microsoft Defender dikonfigurasi dengan pengecualian direktori penting agar file berbahaya tidak terdeteksi. Komponen perlindungan tambahan dimatikan melalui PowerShell, lalu defendnot digunakan untuk memalsukan keberadaan antivirus lain sehingga Defender berhenti sepenuhnya. Selain itu, malware menjalankan modul .NET untuk mengambil screenshot setiap 30 detik dan mengirimkannya ke pelaku lewat Telegram.
Registry Windows dimanipulasi untuk menonaktifkan berbagai alat administratif dan diagnostik. Bahkan, malware membajak asosiasi file tertentu sehingga ketika korban membuka jenis file spesifik, muncul pesan yang mengarahkan mereka menghubungi pelaku melalui Telegram, memperkuat kontrol psikologis atas sistem yang terinfeksi.
Salah satu payload utama yang diunduh dari Dropbox adalah Amnesia RAT dengan nama file “svchost.scr”. Trojan ini dirancang untuk melakukan pencurian data secara luas, mulai dari informasi browser, dompet kripto, akun Discord, Steam, Telegram, hingga metadata sistem. Malware juga merekam layar, gambar webcam, audio mikrofon, clipboard, serta judul jendela aktif.
Amnesia RAT memungkinkan kendali jarak jauh penuh, termasuk eksekusi perintah shell, manajemen proses, penyebaran payload tambahan, dan instalasi malware lanjutan. Data yang dicuri diekstraksi melalui HTTPS menggunakan Telegram Bot API, sementara dataset besar dikirim ke layanan hosting file pihak ketiga seperti GoFile dengan tautan yang dilaporkan kembali ke pelaku.
Kemampuan ini menjadikan Amnesia RAT sebagai alat komprehensif untuk pencurian kredensial, pembajakan sesi, penipuan finansial, dan serangan lanjutan yang terkoordinasi.
Selain RAT, script juga mengirim ransomware turunan keluarga Hakuna Matata. Malware ini mengenkripsi dokumen, arsip, gambar, media, source code, dan aset aplikasi, setelah terlebih dahulu menghentikan proses yang berpotensi mengganggu enkripsi.
Ransomware ini bahkan memonitor clipboard dan diam-diam mengganti alamat dompet kripto dengan milik pelaku untuk membajak transaksi. Tahap akhir infeksi ditutup dengan pemasangan WinLocker yang membatasi interaksi pengguna terhadap sistem, memperparah dampak serangan.
Fortinet menegaskan bahwa rantai serangan ini membuktikan bagaimana malware modern dapat menguasai sistem sepenuhnya tanpa mengeksploitasi celah perangkat lunak. Dengan menyalahgunakan fitur Windows bawaan, kebijakan sistem, dan alat administratif, pelaku terlebih dahulu melumpuhkan pertahanan sebelum menyebarkan payload destruktif.
Microsoft sendiri merekomendasikan aktivasi Tamper Protection untuk mencegah perubahan tidak sah pada pengaturan Defender serta memantau aktivitas API yang mencurigakan.
Di sisi lain, organisasi Rusia juga tengah dibidik aktor ancaman UNG0902 melalui kampanye spear-phishing bernama Operation DupeHike sejak November 2025. Serangan ini menggunakan dokumen umpan bertema bonus karyawan dan kebijakan finansial internal untuk mengelabui korban agar membuka file LNK berbahaya dalam arsip ZIP. Malware DUPERUNNER kemudian mengunduh framework C2 AdaptixC2 secara diam-diam.
Tak hanya itu, kelompok lain yang dilacak sebagai Paper Werewolf memanfaatkan umpan berbasis AI serta file DLL dalam format Excel XLL add-in untuk menyebarkan backdoor EchoGather, yang mampu mengumpulkan informasi sistem dan berkomunikasi dengan server C2 melalui protokol HTTP(S).
Gelombang serangan phishing yang menargetkan Rusia ini menunjukkan evolusi nyata ancaman siber modern. Pemanfaatan layanan cloud tepercaya, penyalahgunaan fitur keamanan Windows, serta integrasi RAT dan ransomware dalam satu rantai serangan menjadikan kampanye ini sangat sulit dideteksi dan dihentikan.
Bagi organisasi dan individu, insiden ini menegaskan pentingnya kesadaran keamanan, perlindungan endpoint yang diperkuat, serta kewaspadaan tinggi terhadap dokumen bisnis yang tampak normal namun menyimpan ancaman tersembunyi.
